Astlos145, ну значит микротик не работает в режиме роутинга, а НАТит адреса. Как же вы хотите сделать proxy bypass - если source IP скрыт за SNAT адресом микротик.
Настройте микротик что бы на сквиде и пфсенс был виден исходный адрес клиента, не микротик.
Astlos145, сертификат в squid нужен для транспарент прокси SSL сайтов. Он по сути является MITM (и часть банков и сервисов у вас так никогда не заработает). Т.е. терминирует SSL сессию до клиент банка, и подключается от своего имени. Это уже не самое лучшее решение для офиса, но вам виднее.
В логах на сквиде запросы от клиента подключенного через микротик допустим с адреса 10.0.5.3 как выглядят?
svitix, наверняка есть. Нужно докручивать Хаирпин_НАТ что б он еще и натил свои же пакеты для самого же себя видимо. Подробнее только сидеть packet sniffer, писать сессию и придумывать костыли.
Лучше б для внутренних клиентов убрать Хаирпин_НАТ совсем, и сделать локальную зону на днс для вашего www.mysite.ru что бы он резолвился в 192.168.111.111. Как то так.
Astlos145,
Балин, ну так и надо писать было, что:
* есть сегмент сети на микротик - там столько то клиентов (сабнет такой то)
* настроен в сети PFSense с transparent прокси Squid, я хочу клиентов за микротиком пропускать мимо прокси (наверное это мои многуважаемые ВИПы).
Т.е. шлюз только на PFSense, осталось узнать в каком режиме работает микротик. (он кстати лишний тут в тегах, равно как и сквид, вопрос тут больше надо обратится к опыту людей работающих с pfsense в связке со сквид). Т.е. если он просто как роутер - то да надо знать как работает связка пфсенс и транспарент сквид.
Еще много надо выяснить, работайте, формулируйте вопросы правильно, рисуйте схемы, ну ищите решение самостоятельно. -)
Astlos145, у меня для вас два ответа:
1. Если я правильно все понял и вы хотите гонять траффик L3 с микротика на прокси (L7) - то спешу вас разочаровать, вероятно у вас ничего не выйдет.
2. Возможно вы хотите не этого, но постановка задачи настолько мутная, что по кол-ву комментаторов в вашем вопросе - косвенно вы можете это понять.
Astlos145, как же трудно из вас добывать данные. Еще раз попытаюсь.
Вы пишите "микротик используется для доступа в интернет", т.е. у него есть свой канал в интернет. Через него через банальный НАТ выходит в интернет целая подсеть? верно?
Есть отдельный пфсенс у которого есть свой канал в интернет, плюс к этому на нем развернут прокси.
Сабнет что на микротике висит - скажем так - может использовать прокси сервер на пфсенсе если сконфигурить браузер. Т.е. все порты доступны для локальной сети "микротик".
Теперь если мои догадки по конфигурации верные - основная идея (тут я теряюсь мне нужна ваша помощь) - каким-то образом сначенный трафик с микротик - перенаправлять через прокси на пфсенс (зачем? - ну например - как временное обходное решение чтоли?).
Ну т.е. идея то в чем?
Astlos145, давайте тогда по порядку,
* какую роль выполняет микротик в сети.
* как пользовательские машины или пользователи выходят в интернет
* какую роль выполняет пфсенс+сквид?
Astlos145, не совсем понял, у вас у клиентов дефолтным роутером является микротик, через него ходит трафик обычный наченный. Т.е. у пользователей никаких настроек прокси нет.
Теперь вы собираетесь взять весь трафик, и как то отправить не напрямую к дестинейшн, а промежуточно на прокси?
Просто я читал несколько раз вопрос, смысл улавливается тяжело, или вообще не улавливается.
Оттого и ответов не густо, люди просто не понимают что у вас за задача или нужно задавать слишком много наводящих вопросов....
xTuMoHx,
Сделайте локального администратора политикой с одинаковым паролем с вашей локальной машиной тогда.
Тогда влетать будете без пароля вообще.
И управлять обновлением пароля можно централизовано.
Влад, нет никакой связи с доменом .com
Это просто поддомены ваши, т.е. 10.yourdomain.com, 11.yourdomain.com .. 100.yourdomain.com.
Либо глюк, либо креды ваши ушли кому-то, смените пароль, удалите записи.
